Berta Sándor
Szigorításokra van szükség a böngészőkiegészítőknél
A múlt héten kirobbant adattovábbítási botrány megmutatta, hogy változtatások kellenek. A Firefox és a Chrome is száműzte a WOT-ot.
Mint arról beszámoltunk, újságíróknak sikerült megszerezniük egy cégek számára készített átfogó adatcsomagot, amely az emberek internetezési szokásairól készült. A csomag több millió felhasználó augusztusi online szörfölési adatait tartalmazta és a segítségével sikerült sok internetező életét az utolsó apró részletekig rekonstruálni. Kiderült, hogy az egyik böngészőkiegészítő, a világszerte népszerű Web of Trust (WOT) is rejtett funkcióval rendelkezik és feljegyzi, majd továbbítja az internetezők böngészési szokásaival kapcsolatos adatokat.
Mike Kuketz IT-biztonsági szakértő elemezte ki, hogy a Web of Trust (WOT) milyen adatokat gyűjtött és továbbított. Kuketz elmondta, hogy több gyanús böngészőkiegészítő is volt, amelyek szóba kerültek adatgyűjtőként. Ezeket egymás után kikapcsolták, hogy lássák, melyek lehetnek az igazi adatgyűjtő programok. De ahhoz, hogy bebizonyíthassák, hogy a WOT valóban elküldi harmadik félnek a felhasználók szörfölési adatait, csapdát kellett állítaniuk.
Beüzemelt egy külön tesztszámítógépet és egy addig ismeretlen honlapot, majd néhány napig a WOT használata mellett böngészett a világhálón, és különböző online fiókokba is belépett. A program a teljes URL-eket továbbította és ezenkívül olyan információkat is elküldött, amelyek segítségével őt azonosítani lehetett. Ezek a fájlok később abban az adatcsomagban voltak, amit felajánlott az egyik adatkereskedő cég megvételre. A szakember hozzátette, hogy őt sokkolta ez a fajta bizalomvesztés, annak ellenére is, hogy már látott néhány dolgot. Közlése szerint az egész dolog hátborzongató volt.
Az egyértelműen kiderült, hogy a WOT a szükségesnél vagy elfogadhatónál sokkal több adatot továbbított. Az, hogy a program adatokat küldött, nem volt meglepő, hiszen ez szerepelt a szoftver adatvédelmi nyilatkozatának aktuális verziójában is. Az igazi probléma az volt, hogy az információk felhasználhatók az internetezők leleplezésére. A botrány kirobbanása óta kiszivárgott, hogy az érintett személyek között volt Helge Braun kancelláriaminiszter, Frank Junge, a német parlament költségvetési bizottságának tagja; Waltraud Wolff, az SPD-frakció elnökségi tagja és Annalena Baerbock, a német parlament gazdasági bizottságának tagja.
A Mozilla és a Google is gyorsan reagált és egyaránt száműzte az elérhető Firefox-, illetve Chrome-kiegészítők közül a WOT-ot. A Mozilla azzal indokolta a lépést, hogy minden olyan programot eltávolít, amelyről bebizonyosodik, hogy megsérti a böngészőkiegészítőkkel kapcsolatos irányelveit. Számos panasz érkezett a szervezethez és ezek mindegyike azzal függött össze, hogy mennyire átláthatóan dolgozott a WOT. A száműzés átmeneti, addig tart, amíg "a gyártó nem módosítja ezeket a dolgokat".
A szoftvert fejlesztő finn cég, a WOT Services Oy szóvivője azt közölte, hogy ha voltak olyan esetek, amikor az információkat nem tették felismerhetetlenné és azok védtelenek voltak, akkor azt természetesen ki fogják vizsgálni és a szükséges intézkedéseket megteszik majd, hogy megfelelő védelmet nyújthassanak a felhasználóknak. Nagyon komolyan veszik az emberek magánszféráját és olyan lépéseket tettek, amelyek hozzájárultak az adatok felismerhetetlenné tételéhez.
A WOT Services Oy rámutatott, hogy az adatvédelmi irányelvét júliusban frissítette és az volt a cél, hogy a szoftver minden platformon és böngészőn ismert legyen. Az új irányelvben szerepel többek között, hogy a felhasználók IP-címeit, a tartózkodási helyeikre vonatkozó adatokat, valamint a használt eszközzel, operációs rendszerrel és böngészővel kapcsolatos információkat továbbítja a vállalat. A WOT Services Oy szeretné mielőbb megoldani a problémát.
Fontos megjegyezni, hogy a WOT programkódjába bárki betekinthet. Az eset megmutatja, hogy a nyílt forráskódúság sem jelent automatikusan biztonságot és megbízhatóságot, ennek ellenére Kuketz továbbra is a nyílt forráskód mellett érvel, mondván csak az tette lehetővé, hogy egyáltalán elvégezhette a munkáját. Hiszen így tudta megváltoztatni a WOT kódját, tudott kísérletezni azzal és ezáltal láthatóvá tehette az adatcsomagot. Egy kereskedelmi szoftvernél, amelynél a forráskód nem érhető el, mindez nem lett volna lehetséges.
A Mozilla minden böngészőkiegészítőt megjelöl, még azelőtt, hogy letöltésre kínálná azokat. Nem lehet tudni, hogy a programoknak a megjelenés előtt milyen belső biztonsági irányelvnek kell megfelelniük, de úgy tűnik, hogy a jelenlegi rendszer nem elegendő.
Felmerül a kérdés, hogy lehetne-e a böngészőkiegészítőknél minőségjelölést alkalmazni. Az Apple App Store esetében egy ideje részben már létezik ilyesmi. A fejlesztőknek regisztrálniuk kell magukat és a termékeiket be kell vizsgáltatniuk. A folyamat során az Apple minden alkalmazást tanulmányoz, megnézi, hogy azok mennyire stabilan működnek, kiolvashatók-e belőlük a magán adatok és megfelelnek-e az App Store szabványának. Egy hasonló modell a böngészőfejlesztőknél is hasznos lenne, de egy ilyen megoldás sem kínálna 100 százalékos védelmet. Kuketz szerint van egy fontos tanulság: ha valaki azt látja, hogy egy cég - megfelelő és érthető üzleti modell nélkül - valamit ingyen kínál, akkor nem árt óvatosnak és bizalmatlannak lenni.
Mint arról beszámoltunk, újságíróknak sikerült megszerezniük egy cégek számára készített átfogó adatcsomagot, amely az emberek internetezési szokásairól készült. A csomag több millió felhasználó augusztusi online szörfölési adatait tartalmazta és a segítségével sikerült sok internetező életét az utolsó apró részletekig rekonstruálni. Kiderült, hogy az egyik böngészőkiegészítő, a világszerte népszerű Web of Trust (WOT) is rejtett funkcióval rendelkezik és feljegyzi, majd továbbítja az internetezők böngészési szokásaival kapcsolatos adatokat.
Mike Kuketz IT-biztonsági szakértő elemezte ki, hogy a Web of Trust (WOT) milyen adatokat gyűjtött és továbbított. Kuketz elmondta, hogy több gyanús böngészőkiegészítő is volt, amelyek szóba kerültek adatgyűjtőként. Ezeket egymás után kikapcsolták, hogy lássák, melyek lehetnek az igazi adatgyűjtő programok. De ahhoz, hogy bebizonyíthassák, hogy a WOT valóban elküldi harmadik félnek a felhasználók szörfölési adatait, csapdát kellett állítaniuk.
Beüzemelt egy külön tesztszámítógépet és egy addig ismeretlen honlapot, majd néhány napig a WOT használata mellett böngészett a világhálón, és különböző online fiókokba is belépett. A program a teljes URL-eket továbbította és ezenkívül olyan információkat is elküldött, amelyek segítségével őt azonosítani lehetett. Ezek a fájlok később abban az adatcsomagban voltak, amit felajánlott az egyik adatkereskedő cég megvételre. A szakember hozzátette, hogy őt sokkolta ez a fajta bizalomvesztés, annak ellenére is, hogy már látott néhány dolgot. Közlése szerint az egész dolog hátborzongató volt.
Az egyértelműen kiderült, hogy a WOT a szükségesnél vagy elfogadhatónál sokkal több adatot továbbított. Az, hogy a program adatokat küldött, nem volt meglepő, hiszen ez szerepelt a szoftver adatvédelmi nyilatkozatának aktuális verziójában is. Az igazi probléma az volt, hogy az információk felhasználhatók az internetezők leleplezésére. A botrány kirobbanása óta kiszivárgott, hogy az érintett személyek között volt Helge Braun kancelláriaminiszter, Frank Junge, a német parlament költségvetési bizottságának tagja; Waltraud Wolff, az SPD-frakció elnökségi tagja és Annalena Baerbock, a német parlament gazdasági bizottságának tagja.
A Mozilla és a Google is gyorsan reagált és egyaránt száműzte az elérhető Firefox-, illetve Chrome-kiegészítők közül a WOT-ot. A Mozilla azzal indokolta a lépést, hogy minden olyan programot eltávolít, amelyről bebizonyosodik, hogy megsérti a böngészőkiegészítőkkel kapcsolatos irányelveit. Számos panasz érkezett a szervezethez és ezek mindegyike azzal függött össze, hogy mennyire átláthatóan dolgozott a WOT. A száműzés átmeneti, addig tart, amíg "a gyártó nem módosítja ezeket a dolgokat".
A szoftvert fejlesztő finn cég, a WOT Services Oy szóvivője azt közölte, hogy ha voltak olyan esetek, amikor az információkat nem tették felismerhetetlenné és azok védtelenek voltak, akkor azt természetesen ki fogják vizsgálni és a szükséges intézkedéseket megteszik majd, hogy megfelelő védelmet nyújthassanak a felhasználóknak. Nagyon komolyan veszik az emberek magánszféráját és olyan lépéseket tettek, amelyek hozzájárultak az adatok felismerhetetlenné tételéhez.
A WOT Services Oy rámutatott, hogy az adatvédelmi irányelvét júliusban frissítette és az volt a cél, hogy a szoftver minden platformon és böngészőn ismert legyen. Az új irányelvben szerepel többek között, hogy a felhasználók IP-címeit, a tartózkodási helyeikre vonatkozó adatokat, valamint a használt eszközzel, operációs rendszerrel és böngészővel kapcsolatos információkat továbbítja a vállalat. A WOT Services Oy szeretné mielőbb megoldani a problémát.
Fontos megjegyezni, hogy a WOT programkódjába bárki betekinthet. Az eset megmutatja, hogy a nyílt forráskódúság sem jelent automatikusan biztonságot és megbízhatóságot, ennek ellenére Kuketz továbbra is a nyílt forráskód mellett érvel, mondván csak az tette lehetővé, hogy egyáltalán elvégezhette a munkáját. Hiszen így tudta megváltoztatni a WOT kódját, tudott kísérletezni azzal és ezáltal láthatóvá tehette az adatcsomagot. Egy kereskedelmi szoftvernél, amelynél a forráskód nem érhető el, mindez nem lett volna lehetséges.
A Mozilla minden böngészőkiegészítőt megjelöl, még azelőtt, hogy letöltésre kínálná azokat. Nem lehet tudni, hogy a programoknak a megjelenés előtt milyen belső biztonsági irányelvnek kell megfelelniük, de úgy tűnik, hogy a jelenlegi rendszer nem elegendő.
Felmerül a kérdés, hogy lehetne-e a böngészőkiegészítőknél minőségjelölést alkalmazni. Az Apple App Store esetében egy ideje részben már létezik ilyesmi. A fejlesztőknek regisztrálniuk kell magukat és a termékeiket be kell vizsgáltatniuk. A folyamat során az Apple minden alkalmazást tanulmányoz, megnézi, hogy azok mennyire stabilan működnek, kiolvashatók-e belőlük a magán adatok és megfelelnek-e az App Store szabványának. Egy hasonló modell a böngészőfejlesztőknél is hasznos lenne, de egy ilyen megoldás sem kínálna 100 százalékos védelmet. Kuketz szerint van egy fontos tanulság: ha valaki azt látja, hogy egy cég - megfelelő és érthető üzleti modell nélkül - valamit ingyen kínál, akkor nem árt óvatosnak és bizalmatlannak lenni.